virus : W32.Sinnaka.A@mm

[invite6315d05a]

salut la gang ?

et oui moi aussi j'ai attrapé le virus w32.sinnaka.a@mm
et j'aimerai bien que quelqu'un m'aide pour le retirer S.V.P.
J'ai lu tout vos recommendation comme installer les spyware (adaware et spybot )et les anti virus (AVG et Avast ) et ca continue toujours....
j'ai ensuite downloader le prog, Hijackthis pour vous donner mon rapport......

alors en n'espèrant qu'il y a une personne qui peux m'aider

Alors voici mon premier rapport



Logfile of HijackThis v1.99.1
Scan saved at 19:56:15, on 2005-12-14
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.e xe
C:\WINDOWS\system32\services.e xe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.ex e
C:\WINDOWS\System32\svchost.ex e
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.ex e
C:\WINDOWS\system32\nvctrl.exe
C:\WINDOWS\system32\mssearchne t.exe
C:\WINDOWS\anvshell.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\Symantec\Norton Ghost\Agent\GhostTray.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\a vgcc.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\a vgemc.exe
C:\PROGRA~1\MICROS~3\GAMECO~1\ STRATE~1\daemon14.exe
C:\WINDOWS\system32\ICO.EXE
C:\Program Files\Lexmark 3300 Series\lxccmon.exe
C:\PROGRA~1\ALWILS~1\Avast4\as hDisp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\asuskbservice.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\a vgamsvr.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\a vgupsvc.exe
C:\WINDOWS\System32\GEARSec.ex e
C:\Program Files\Symantec\Norton Ghost\Agent\PQV2iSvc.exe
C:\WINDOWS\system32\nvsvc32.ex e
C:\WINDOWS\system32\svchost.ex e
C:\WINDOWS\system32\lxcccoms.e xe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\DOCUME~1\NOC\LOCALS~1\Temp\ Répertoire temporaire 1 pour hijackthis.zip\HijackThis.exe

R1 - HKCU\Software\Microsoft\Intern et Connection Wizard,ShellNext = http://windowsupdate.microsoft.com/
R0 - HKCU\Software\Microsoft\Intern et Explorer\Toolbar,LinksFolderNa me = Liens
O2 - BHO: HomepageBHO - {1ca480cd-c0e5-4548-874e-b85b17905b3a} - C:\WINDOWS\system32\hp7C15.tmp
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dl l
O4 - HKLM\..\Run: [Ptipbmf] rundll32.exe ptipbmf.dll,SetWriteCacheMode
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll, NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.d ll,NvTaskbarInit
O4 - HKLM\..\Run: [anvshell] anvshell.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck. exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [Norton Ghost 9.0] C:\Program Files\Symantec\Norton Ghost\Agent\GhostTray.exe
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\a vgcc.exe /STARTUP
O4 - HKLM\..\Run: [AVG7_EMC] C:\PROGRA~1\Grisoft\AVGFRE~1\a vgemc.exe
O4 - HKLM\..\Run: [EPSON Stylus C62 Series] C:\WINDOWS\System32\spool\DRIV ERS\W32X86\3\E_S0BIC1.EXE /P23 "EPSON Stylus C62 Series" /O6 "USB001" /M "Stylus C62"
O4 - HKLM\..\Run: [MediaFace Integration] C:\Program Files\Fellowes\MediaFACE 4.0\SetHook.exe
O4 - HKLM\..\Run: [Daemon14] C:\PROGRA~1\MICROS~3\GAMECO~1\ STRATE~1\daemon14.exe
O4 - HKLM\..\Run: [Mouse Suite 98 Daemon] ICO.EXE
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [LXCCCATS] rundll32 C:\WINDOWS\System32\spool\DRIV ERS\W32X86\3\LXCCtime.dll,_Run DLLEntry@16
O4 - HKLM\..\Run: [lxccmon.exe] "C:\Program Files\Lexmark 3300 Series\lxccmon.exe"
O4 - HKLM\..\Run: [FaxCenterServer] "C:\Program Files\Lexmark Fax Solutions\fm3032.exe" /s
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\as hDisp.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: &Traduire à partir de l'anglais - res://c:\program files\google\GoogleToolbar1.dl l/cmwordtrans.html
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\ EXCEL.EXE/3000
O8 - Extra context menu item: Pages liées - res://c:\program files\google\GoogleToolbar1.dl l/cmbacklinks.html
O8 - Extra context menu item: Pages similaires - res://c:\program files\google\GoogleToolbar1.dl l/cmsimilar.html
O8 - Extra context menu item: Recherche &Google - res://c:\program files\google\GoogleToolbar1.dl l/cmsearch.html
O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://c:\program files\google\GoogleToolbar1.dl l/cmcache.html
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
O17 - HKLM\System\CCS\Services\Tcpip \..\{F5C8E5FE-C671-410B-AF50-AB6364EEB1F8}: NameServer = 206.47.244.90 206.47.244.53
O23 - Service: ASUSKeyboardService - ASUSTeK COMPUTER INC. - C:\WINDOWS\asuskbservice.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\a vgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\a vgupsvc.exe
O23 - Service: GEARSecurity - GEAR Software - C:\WINDOWS\System32\GEARSec.ex e
O23 - Service: lxcc_device - Lexmark International, Inc. - C:\WINDOWS\system32\lxcccoms.e xe
O23 - Service: Norton Ghost - Symantec Corporation - C:\Program Files\Symantec\Norton Ghost\Agent\PQV2iSvc.exe
O23 - Service: %NVSVC.name% (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.ex e
-----

[invite6315d05a]

Je suis content de voir qu'il y a des gens très intelligent en informatique car moi je suis nul....hi hi

J'ai oublier de vous dire que j'ai étét aussi sur le site de Symantec et j'ai essayer de faire ce qu'il disait et j'ai rien trouver. snif ,snif ,..

J'ai aussi downloader le prog: EWIDO en en voici le rapport...

---------------------------------------------------------
ewido security suite - Rapport de scan
---------------------------------------------------------

+ Créé le: 20:28:41, 2005-12-14
+ Somme de contrôle: 33B421B2

+ Résultats du scan:

[1972] C:\WINDOWS\system32\hp7C15.tmp -> Downloader.Zlob.co : Erreur durant le nettoyage
C:\Documents and Settings\NOC\Bureau\A Classé\Cracksearch\Crack.zip/Crack/CrackSearcher V1.0.2.exe -> Not-A-Virus.HackTool.CrackSearch.a : Nettoyer et sauvegarder
C:\System Volume Information\_restore{F59CB2FE-B118-4B6F-8907-C6453EEEB579}\RP126\A0014087.e xe -> Adware.Spyaxe : Nettoyer et sauvegarder
C:\System Volume Information\_restore{F59CB2FE-B118-4B6F-8907-C6453EEEB579}\RP126\A0014088.e xe -> Adware.SpySheriff : Nettoyer et sauvegarder


::Fin du rapport


J' attend impatiemment votre aide et vous en remercie a l'avance

[Cyrrus]

Bonsoir,

Pouah Spyaxe à l'air d'etre la specialité de Futura lol. Je m'occuperai de cette bestiole Vendredi, voire Samedi au pire...
Bonne soirée
Cyrrus

[invite6315d05a]

Merci Cyrrus , tu est le DIEUX de ce Virus, hi hi

es-ce que l 'anti-virus AVast aurai pu finir pas régler le problème car quand j'ouvre EXPLORER ce n'ai pu la page du virus qui ouvre ?? ou bien il est toujours présent ??

[A voir en vidéo sur Futura]

[Cyrrus]

tu est le DIEUX de ce Virus, hi hi

Je prefererai être son pire cauchemar vois tu

AVast aurai pu finir pas régler le problème car quand j'ouvre EXPLORER ce n'ai pu la page du virus qui ouvre ?? ou bien il est toujours présent ??

Je vois mal Avast, bien qu'il soit performant, s'occuper de cela tout seul. Au vu du rapport, Spyaxe est present. Maintenant si les symptomes ont évolué (dans le bon sens), reposte un nouveau log pour voir s'il y a du changement.

Bonne jounrée
Cyrrus

[Cyrrus]

Bonsoir Shadow,

J'avais analysé ton rapport, mais lorsque j'ai cliquer sur Envoer la réponse (pas rapide cette fois), on m'a demandé mes identifiants pour me signifier que la discussion n'existait plus. Bilan : j'ai tout perdu. La je suis crevé, donc je re commencerai demain....

Bonne soirée, et désolé
Cyrrus

[Sushi]

En attendant que Cyrrus se repose, tu peux copier coller ton log en ligne ici .
C'est un outil très intéressant, qui analyse les logs Hijackthis.
Trouvé lors de mes périgrinations sur le net, Il permet de distinguer les menaces des processus anodins de manière très visuelle. Extra pour les profanes.

Je l'ai essayé, pour moi tout est ok je ne suis pas infecté, ouf !!!

Pour Cyrrus : Tu devrais jeter un oeil à cet outil et le conseiller si tu le juge opportun, il t'éviterait peut être un peu de travail pour les infections plus banales ?

@+
Raphaël

[yoda1234]

u devrais jeter un oeil à cet outil et le conseiller si tu le juge opportun, il t'éviterait peut être un peu de travail pour les infections plus banales ?
@+
Raphaël

Bonjour
cet outil,très connu, ne peut en aucun cas ètre conseillé a un néophite.
Je l'avais essayé a une certaine époque et il m'avait classé comme "méchant" mon firewall!
Donc effectivement pour dégrossir le travail il peut être utile mais je préfère l'analyse humaine.
Tiens, un exemple, dans le cas de SHADOW191,si le robot se plante et donne une ligne bonne comme "méchante" et que SHADOW191 élimine la ligne suspecte et bien dans son cas il n'y aura pas de retour en arrière parcequ' aucun analyste ne lui aura dit de ne pas installer HJT dans un répertoire temporaire mais de l'installer dans un répertoire qui lui est destiné.

[Sushi]

Salut,

Merci de la précision, je pensais que cet outil était sans danger mais à ce que je vois c'est bien plus compliqué.
Dommage qu'il n'en existe pas un aussi simple d'utilisation mais fiable .

@+
Raphaël

[Cyrrus]

Bonjour Shadow,

Avant toute choses, mets hijackthis dans C:\Hijackthis\HIjackthis.exe

1/ Télecharge les utilitaires suivants :

• SmitRem
• CCLeaner

2/ Fais Ctrl Alt Suppr et termine les processus suivants :

nvctrl.exe
mssearchnet.exe

3/ Puis lance Hijackthis et coche les lignes suivantes :

O2 - BHO: HomepageBHO - {1ca480cd-c0e5-4548-874e-b85b17905b3a} - C:\WINDOWS\system32\hp7C15.tmp
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck. exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

Ferme toutes les fenêtres, exceptés hijackthis et clique sur Fix checked

4/ Ferme Hijackthis et double clique sur SmitRem.exe pour l'extraire :

• Redemarre ton ordinateur en mode sans echec (tapoté f8 au demarrage)
• Ouvre le dossier SmitRem et double clique sur Runthis.bat
• Suit ce qu'on te dit et accepte le nettoyage de ton disque.

5/ Supprime les fichiers suivants si tu les trouves :
C:\WINDOWS\system32\nvctrl.exe
C:\WINDOWS\system32\mssearchnet.exe

6/Redemarre ton ordinateur normalement. Il se peut que le theme d'XP est changé, remets le comme tu le souhaites.

7/ Effectue un scan complet avec Ewido. Sauve le rapport à la fin du scan.

8/ Installe CCleaner. Dans Options>Avancé, pense à decocher "Supprimer les fichiers plus vieux que 48h". Fais un nettoyage dans la partie Nettoyeur>Windows, et dans Erreurs


9/ Poste un nouveau log hijackthis, ainsi que le rapport d'Ewido.

Bonne journée
Cyrrus

[Cyrrus]

Tu devrais jeter un oeil à cet outil et le conseiller si tu le juge opportun, il t'éviterait peut être un peu de travail pour les infections plus banales ?

Je m'en sert pour Futura

[invite6315d05a]

Merci a toutes a tout le monde qui a bien voullu m'aider mais mon ordi a planter SOLIDE ... TABAR.."/$@£¢¤ he he he alors il va falloir que je reboot.

A+ et merci encore

Shadow191